nexus/wiki/sources/ctp-topic-34-azure-landing-zone-architecture-overview.md

title, type, tags, date

title	type	tags	date
CTP Topic 34 Azure Landing Zone Architecture Overview	source	Azure Landing-Zone Cloud-Transformation CTP	2026-04-14

Source File

• Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-34-azure-landing-zone-architecture-overview

Summary（用中文描述）

• 核心主题：Azure Landing Zone 在 Micro Focus 内部的实施架构概述
• 问题域：企业级多云治理（Azure 部分）——如何通过 Landing Zone 简化 Azure 接入、减少跨团队依赖、实现自动化部署
• 方法/机制：Azure Enterprise Enrollment → 管理组（Management Groups）分层 → 独立订阅隔离目的 → Terraform Cloud IaC 自动化
• 结论/价值：四个管理组区域（Platform / Landing Zones / Decommission / Sandbox）实现资源隔离与职责分离；Terraform Cloud 管理跨订阅依赖；PIM/PAG 实现精细化访问控制

Key Claims（用中文描述）

• Azure Landing Zone 通过管理组（Management Groups）将组织实体分为 Platform、Landing Zones、Decommission、Sandbox 四个层级，实现分层治理
• Platform 层包含 Identity 和 Connectivity 两个独立订阅，各自承担特定安全职责，避免职责混淆
• Connectivity 订阅作为中心枢纽，汇聚所有入站和出站 Azure 流量，集成 DDoS 防护和 Checkpoint 防火墙
• Landing Zones 设计为可扩展、模块化、全自动化，提供基于模板的方案供新项目使用
• 独立订阅的核心原因是按特定目的隔离，每个订阅服务单一用途
• Privileged Identity Management (PIM) 和 Privileged Access Groups 管理用户访问，确保角色和策略的正确执行
• Terraform Cloud 利用 Terraform State 管理跨订阅依赖，支持分层架构

Key Quotes

"The primary goal is to minimize cross-team dependencies through automation, granting teams greater independence in deploying innovative solutions within the Azure environment." — Kishore Garlopati，演讲核心目标

"The core reason of these individual or isolated subscriptions is you are basically containing a subscription for a specific purpose." — 独立订阅的核心设计原则

"This sandbox is an interesting one because these landings on subscriptions allows your workloads." — Sandbox 环境允许团队在隔离环境中实验工作负载

Key Concepts

• Azure Landing Zone：Azure 云环境的托管基础框架，通过管理组和订阅分层实现安全、合规和可管理性，为工作负载提供标准化入口。与 AWS Landing Zone 同属多云 Landing Zone 架构的两种实现
• Management Groups：Azure 管理组，类似于 Windows 父目录结构，用于组织和治理 Azure 租户内的实体，可分层级继承策略和访问控制
• Terraform Cloud：HashiCorp 的 Terraform 云平台，提供 IaC 状态管理、工作流自动化和团队协作能力，用于管理跨订阅的基础设施依赖
• Privileged Identity Management (PIM)：Azure AD 的特权身份管理服务，实现实时细粒度访问控制，确保用户仅在需要时获得特权
• Privileged Access Groups：PIM 的组成部分，通过访问组管理用户权限，支持基于角色的策略执行

Key Entities

• Kishore Garlopati：演讲者，Azure Landing Zone 架构overview主讲人
• Micro Focus：使用 Azure Landing Zone 进行云转型的企业组织，参考 AWS Landing Zone 在 Micro Focus 的实践经验

Connections

• AWS Landing Zone ← related_to ← Azure Landing Zone（同属 Landing Zone 架构，AWS 与 Azure 的不同实现）
• ctp-topic-1-gruntwork-landing-zone-architecture ← related_to ← AWS Landing Zone（AWS Landing Zone 基础入门）
• ctp-topic-35-aws-landing-zone-design-refresher-saas-labs ← related_to ← AWS Landing Zone（AWS Landing Zone 设计复习）
• ctp-topic-47-enterprise-architecture-cloud-standards ← extends ← AWS Landing Zone（企业架构云标准扩展）
• Terraform ← implements ← Terraform Cloud（Terraform Cloud 是 Terraform 的云端编排平台）

Contradictions

• 无已知冲突内容